FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FIB 2017:11 Utkom från trycket 2017-12-18 Försvarsmaktens interna bestämmelser om it-verksamhet; beslutade den 15 dec 2017. Försvarsmakten föreskriver följande. Inledande bestämmelser 1 I denna författning finns bestämmelser för bedrivande av it-verksamhet i Försvarsmakten. Bestämmelserna gäller samtliga it-system och it-tjänster i Försvarsmakten. Vad som sägs om it-system gäller också för sådana it-system som utgörs av eller innehåller elektronsika kommunikationsnät. Ytterligare bestämmelser om styrning av it-verksamheten återfinns i Försvarsmaktens arbetsordning. Definitioner 2 I dessa bestämmelser avses med 1. drift: verksamheter eller åtgärder för att hålla system samt dess funktioner och tjänster tillgängliga och säkra, 2. elektroniskt kommunikationsnät: system för överföring och i tillämpliga fall utrustning för koppling eller dirigering samt passiva nätdelar och andra resurser som medger överföring av signaler, via tråd eller radiovågor, på optisk väg eller via andra elektromagnetiska överföringsmedier oberoende av vilken typ av information som överförs, 3. förvaltning: vidmakthållande och vidareutveckling av it-tjänster med tillhörande arbetssätt,
FIB 2017:11 Sida 2 4. it-system: system av sammansatt hård- och mjukvara som hanterar information, 5. it-tjänst: en sammanhållen kedja bestående av ett eller flera it-system med tillhörande aktiviteter i form av drift, förvaltning och övervakning för att tillhandahålla en eller flera funktioner, 6. livscykel: tiden från och med det att ett behov av en it-tjänst eller ett itsystem har identifierats till den tidpunkt när it-tjänsten eller systemet har avvecklats, och 7. övervakning: åtgärder för att kontinuerligt kontrollera, upptäcka, logga och analysera händelser som kan påverka ett it-system, it-tjänst eller dess informationstillgångar negativt och möjliggöra avhjälpning. Hänvisningar 3 I Försvarsmaktens föreskrifter (FFS 2015:2) om säkerhetsskydd finns bestämmelser avseende informationssäkerhet. 4 I Försvarsmaktens interna bestämmelser (FIB 2017:8) om it-säkerhet finns bestämmelser avseende säkerheten i och kring it-system. 5 I 8 kap., 9 kap. respektive 11 kap. i Försvarsmaktens arbetsordning finns bestämmelser om uppgifter och befogenheter för Försvarsmaktens Chief Information Officer (FM CIO), produktionschefen respektive chefen för militära underättelse- och säkerhetstjänsten. Ledning och styrning av it-verksamheten 6 Framtagande av nya it-system och it-tjänster får ske först efter beslut av FM CIO, eller den han eller hon bestämmer. Detsamma gäller förändringar av befintliga it-system och it-tjänster.
FIB 2017:11 Sida 3 7 FM CIO ansvarar för att ta fram underlag inför överbefälhavarens avvägningsbeslut avseende ekonomi för it-verksamheten. 8 Endast godkända it-system och it-tjänster får användas i Försvarsmakten. Även förändringar av it-system och it-tjänster ska vara godkända. Ett beslut om godkännande av ett it-system eller en it-tjänst förutsätter att beslut om ackreditering har fattats eller att beslut om att ackreditering inte krävs. I 13 kap. Försvarsmaktens interna bestämmelser (FIB 2017:8) om it-säkerhet framgår närmare bestämmelser om ackreditering. 9 FM CIO eller den han eller hon bestämmer beslutar om godkännande av itsystem och it-tjänster. 10 Alla aktiviteter under ett it-systems eller en it-tjänsts livscykel ska genomföras enligt ett dokumenterat arbetssätt. Av Försvarsmaktens arbetsordning framgår att FM CIO beslutar om metoder och direktiv för it-verksamheten. Utbildning 11 Innan en person tilldelas behörighet att använda ett it-system eller it-tjänst ska närmaste chef tillse att nödvändig utbildning genomförts. Drift och förvaltning 12 Aktiv drift, förvaltning och övervakning av Försvarsmaktens it-system och it-tjänster ska ske till fastställd kvalitetsnivå. 13 För Försvarsmaktens it-system och it-tjänster ska det finnas drift-, underhåll- och förvaltningsplaner.
FIB 2017:11 Sida 4 14 Drifts- och underhållsåtgärder som genomförs i ett it-system som har flera användare ska dokumenteras av den som ansvarar för driften och underhållet av it-systemet. 15 Register över Försvarsmaktens licenser samt över nyttjandet av dessa licenser ska föras av produktionschefen, eller den han eller hon bestämmer. 16 Produktionschefen, chefen för militära underättelse- och säkerhetstjänsten och FM CIO ansvarar, inom repektive ansvarsområde, för att ändamånsenlig dokumentation över it-systemet eller it-tjänsten hålls aktuell. Dokumentationen ska inkludera it-systemens och it-tjänsternas godkännande- och ackrediteringsstatus. Kontinuitetsplanering 17 För it-system och it-tjänster som är kritiska för verksamheten ska det finnas kontinuitetsplaner som tydliggör hur verksamheten ska upprätthållas vid större störningar och avbrott och hur normal drift ska återupptas. Verksamhetsansvarig avdelning inom Högkvarteret ska inom ramen för sitt ansvarsområde i en plan (kontinuitetsplan) ange hur myndighetsövergripande verksamhet ska upprättshållas. Chef för organisationsenhet beslutar om sådana planer för hur lokal verksamhet ska upprätthållas vid större störningar i centrala system och i lokala system. Undantag 18 Försvarsmakten får medge undantag från bestämmelserna i denna författning. Överbefälhavaren beslutar i ärenden om undantag. 1. Denna författning träder i kraft den 1 februari 2018.
FIB 2017:11 Sida 5 2. Genom författningen upphävs Försvarsmaktens interna bestämmelser (FIB 2007:5) om it-verksamhet. 3. Beslut om auktorisation meddelade med stöd av Försvarsmaktens interna bestämmelser (FIB 2007:5) om it-verksamhet gäller till dess att itsystemet eller it-tjänsten för vilket beslutet är fattat ska genomgå en förändring som förutsätter beslut om godkännande enligt 8. Micael Bydén Carin Bratt